nayrmil имеет некоторые хорошие предложения. Другая опция состояла бы в том, чтобы ограничить, какие машины могут выполнить интерактивные задания. Мы в основном определяем некоторые узлы как "интерактивные" и помещаем очередь на них, которая превышает намеченную сумму ресурсов узла, столько пользователей может войти в систему сразу. Пользователи могут в основном расположиться лагерем там, пока они хотят, но если они хотят получить доступ к некоторым реальным ресурсам, они должны отправить надлежащее задание.
Не то чтобы списки контроля доступа квантов - это плохо, но отвечу на ваш вопрос:
ldapmodify
dn: cn = config
changetype: изменить
добавить: olcDisallows
olcDisallows: bind_anon
-dn: olcDatabase = {- 1} интерфейс, cn = config
changetype: изменить
добавить: olcRequires
olcRequires: authc
Имейте в виду, что ldapmodify чувствителен к (завершающим) пробелам, поэтому прямая копипаста не будет работать (и может не аутентифицировать вас должным образом). Кроме того, для используемого вами DNS потребуется доступ для записи в базу данных cn = config.
I've not tested but try something like this:
dn: olcDatabase={1}hdb,cn=config
add: olcAccess
olcAccess: to attrs=userPassword
by dn="cn=admin,dc=example,dc=com" write
by self write
by * none
olcAccess: to dn.base=""
by users read
by * none
olcAccess: to *
by dn="cn=admin,dc=example,dc=com" write
by * none
Вариант на ту же тему, пробовал, работает: Советы по безопасности LDAP на SysadminTalk
Резюме:
1) Создайте файл, назовем его disable_anon_frontend.ldif
со следующим содержанием:
dn: olcDatabase={-1}frontend,cn=config
add: olcRequires
olcRequires: authc
2) Создайте еще один файл с именем disable_anon_backend.ldif
со следующим содержанием:
dn: olcDatabase={1}hdb,cn=config
add: olcRequires
olcRequires: authc
3) Затем на сервере измените LDAP, введя следующие команды:
sudo ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f disable_anon_frontend.ldif
sudo ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f disable_anon_backend.ldif
4) Проверьте, выполнив следующий анонимный запрос: ldapsearch -x -LLL -H ldap: /// -b dc = example, dc = domain, dc = com dn
(используйте ваши настройки dc = ...
, если применимо).
Если вы см. сообщение об ошибке ниже, значит анонимный доступ был успешно отключен:
Server is unwilling to perform (53)
Additional information: authentication required
Удачи!